Il GDPR ha istituito una nuova figura nell’ambito della protezione dei dati personali: si tratta del Data Protection Officer (DPO), in italiano Responsabile della Protezione Dati (RDP).
Il DPO opera all’interno delle organizzazioni (pubbliche e private) nell’ambito dell’adeguamento al GDPR, su nomina del Titolare e del responsabile del trattamento dati. Come vedremo però, la sua nomina non è sempre obbligatoria.
Si tratta di un professionista con competenze specifiche nel campo della protezione dei dati personali (quindi nel settore legale); può essere sia interno che esterno all’azienda. In pratica si tratta di un counselor, che affianca il Titolare e il responsabile del trattamento dati nell’adeguamento dell’organizzazione al GDPR (ex art. 38, GDPR: “Il Titolare del trattamento e il responsabile del trattamento si assicurano che il responsabile della protezione dei dati sia tempestivamente e adeguatamente coinvolto in tutte le questioni riguardanti la protezione dei dati personali.”). Il Titolare e il responsabile sono tenuti a collaborare con il DPO, fornendogli tutti i mezzi e le informazioni necessari al corretto svolgimento del suo lavoro.
Quella del Responsabile della Protezione Dati è quindi una figura estremamente utile, in quanto assicura alle aziende una compliance il più possibile completa e corretta al GDPR.
I compiti del DPO
Nell’articolo 39 del GDPR vengono elencati i compiti del DPO. Nello specifico il DPO deve svolgere almeno uno dei seguenti compiti:
- informare l’azienda sugli obblighi derivanti dal GDPR e dalle altre disposizioni UE;
- sorvegliare sulla compliance dell’azienda al GDPR e alle altre disposizioni UE;
- se richiesto, fornire un parere sulla valutazione d’impatto (Data Protection Impact Assessment, DPIA ovvero l’analisi dei rischi legati al trattamento dei dati personali e la valutazione degli strumenti volti a mitigare tali eventuali rischi) svolta dall’azienda;
- collaborare con l’Autorità di Controllo (il Garante Privacy, in Italia);
- fare da punto di contatto tra l’azienda e l’Autorità di Controllo.
Quando la nomina del DPO è obbligatoria
Come accennato, la nomina del DPO non è sempre obbligatoria. L’articolo 37 del GDPR indica i contesti in cui il Titolare e il responsabile del trattamento dati sono tenuti a designare questa figura:
- il trattamento è effettuato da un’autorità pubblica o da un organismo pubblico;
- le attività principali del Titolare del trattamento o del responsabile del trattamento consistono in trattamenti che, per loro natura, ambito di applicazione e/o finalità, richiedono il monitoraggio regolare e sistematico degli interessati su larga scala;
- le attività principali del Titolare del trattamento o del responsabile del trattamento consistono nel trattamento, su larga scala, di categorie particolari di dati personali di cui all’articolo 9 o di dati relativi a condanne penali e a reati di cui all’articolo 10.
Quando nominato, la sua identità e i suoi dati, anche di contatto, devono essere riportati nell’informativa privacy (così come l’identità e i dati del Titolare e del responsabile del trattamento dei dati personali).
